O WordPress é a base de mais de 34% de todos os sites na internet. É por isso que o CMS costuma ser alvo de agentes maliciosos, que podem acabar prejudicando e apagando projetos inteiros. No conteúdo de hoje, você vai aprender 9 ações práticas de Segurança WordPress para fortificar e proteger seu site de qualquer tentativa de ataques indesejados e problemas decorrentes dele.
- 1 – Mantenha seu WordPress Atualizado
- 2 – Use Credenciais Criativas de Login e Senha
- 3 – Use Autenticação de Dois Fatores (A2F)
- 4 – Desabilite o Relatório de Erro PHP
- 5 – Não Use Temas nem Plugins Piratas
- 6 – Faça Backups com Frequência
- 7 – Desabilite a Edição de Arquivos
- 8 – Use Sistemas Anti-Malwares
- 9 – Use Plugins de Segurança WordPress
- Conclusão
1 – Mantenha seu WordPress Atualizado
Pode parecer trivial, mas o primeiro passo é também um dos mais importantes: sempre atualizar a versão do WordPress que você está usando.
Certifique-se de ter a mais recente, já que a ferramenta também terá recursos mais preparados para enfrentar qualquer tipo de ameaça na web.
2 – Use Credenciais Criativas de Login e Senha
Observe qual tipo de nome de usuário e senha você está usando para fazer login no painel de controle do seu site WordPress.
Saiba que, se você está usando algo simples como admin para o usuário e 123456 para a senha de acesso, está correndo um grande risco de invasão.
É recomendado que você mude o nome do administrador e a senha de acesso à conta. Se quiser, você também pode criar um novo Admin, com um novo nome de usuário e senha. E, com isso, apagar o usuário antigo.
Para isso, siga os passos abaixo:
- Navegue até Usuários (Users) >> Adicionar Novo (Add New).
- Crie um novo usuário (Username) e coloque a permissão no campo Role (Papel) em Administrador (Administrator). Depois, clique em Adicionar Novo Usuário (Add New User).
- Faça um novo login no WordPress com o novo nome de usuário.
- Retorne para a seção de Usuários (Users) e apague o Admin antigo.
Quanto às senhas, faça uma combinação de números, letras e caracteres especiais que façam sentido a você. O importante é que ela seja variantes em letras maiúsculas e minúsculas, para reforçar a segurança.
3 – Use Autenticação de Dois Fatores (A2F)
A tecnologia de autenticação de dois fatores é uma camada de segurança extra para fazer login em qualquer página. Com o WordPress, não é diferente.
Tudo o que você precisa é ter um login e senha de acesso, além de um aplicativo de verificação instalado no seu smartphone e um plugin no WordPress.
No painel de controle do CMS, vá até Plugins >> Adicionar Novo >> Google Authenticator. Depois de instalar e ativar o plugin, vá até Configurações (Settings) e complete a A2F habilitando cada usuário (User) que você tiver.
Se preferir, você também pode usar o plugin Wordfence Security, o QR Code Authenticator ou o WordPress 2SV.
4 – Desabilite o Relatório de Erro PHP
Um relatório de erro PHP é útil se você está desenvolvendo seu próprio site manualmente.
É com ele que você sabe que tudo está funcionando perfeitamente ou algo não está certo no script de desenvolvimento (ou em qualquer parte da programação da página).
Não é recomendado deixar esse relatório à vista de outros usuários, pois eles podem se aproveitar de brechas para tentar invadir seu sistema. Você mesmo pode desabilitar o relatório de erro pelo painel de controle do WordPress.
Se isso não for possível, você também pode fazer pelo Gerenciador de Arquivos da sua hospedagem. Lá, encontre o arquivo config.php. E, então, edite o arquivo wp-config.php. Use o código abaixo (copie e cole na referida pasta) para desligar o relatório.
error_reporting(0); @ini_set(‘display_errors’, 0);
5 – Não Use Temas nem Plugins Piratas
O WordPress tem uma biblioteca gigantesca de temas e plugins para você usar. Então, não faz sentido instalar temas e plugins de origem duvidosa.
A dica aqui é sempre evitar qualquer fabricante ou desenvolvedor que pareça suspeito e driblar qualquer função pirata.
O perigo está no fato de que você pode fazer download e temas e plugins piratas de qualquer lugar da web.
Mas o que pode passar despercebido é que eles podem vir infectados com malwares ou links maliciosos escondidos. E isso é extremamente perigoso para a segurança do WordPress.
6 – Faça Backups com Frequência
Fazer backups regularmente é uma forma de você sempre ter uma cópia reserva e segura do seu site.
Na usabilidade diária do WordPress, problemas, como bugs em plugins, temas e ataques maliciosos, podem acontecer a qualquer momento. Então, é útil ter um backup assegurado.
Para criar backups no WordPress, você pode contar com a ajuda de dois plugins:
Se preferir, você fazer um backup manualmente. Para isso, é preciso fazer o download dos arquivos do WordPress e exportar o banco de dados dele. Além disso, pode usar a ferramenta de backup do seu serviço de hospedagem de sites.
7 – Desabilite a Edição de Arquivos
O WordPress conta com um recurso embutido de edição de arquivos, algo que facilita o gerenciamento do site pelo usuário. Mas, junto com a função, agentes maliciosos podem invadir esse sistema e por tudo a perder.
Você pode fazer com que o Editor de Arquivos (File Editor) fique inacessível para qualquer usuário estranho. Tudo o que você precisa fazer é inserir a linha de código abaixo no arquivo wp-config.php.
define( 'DISALLOW_FILE_EDIT', true );
8 – Use Sistemas Anti-Malwares
Como forma de aprimorar a proteção do WordPress, é sempre recomendado usar um sistema anti-malware.
Para isso, a sugestão é instalar plugins como o Wordfence, que escaneia e faz uma análise completa de todas as conexões que entram e saem do seu site.
O diferencial do Wordfence é que ele tem opções para escaneamentos manuais e automáticos.
Além de também contar com várias configurações para cada caso particular de infecção digital, como a remoção de arquivos modificados e problemáticos. Fora que o plugin é grátis.
Outras alternativas de plugins anti-malware são:
- Sucuri Security. Protege seu site contra ataques DOS. Também cria uma lista de emails e conexões perigosas, bloqueando acessos e escaneando seu site a procura de malwares. Se algo malicioso for detectado, você recebe uma mensagem por email e as instruções do quê fazer na sequência.
- BulletProof Security. Oferece um firewall adicional, além de segurança de banco de dados. Não oferece um sistema anti-malwares por escaneamento como os anteriores; em compensação, tem como destaque a configuração facilitada com apenas alguns cliques.
9 – Use Plugins de Segurança WordPress
Plugins são a forma mais prática e rápido de adicionar novos recursos em um site WordPress. No quesito segurança, não é diferente. Abaixo estão 3 sugestões de plugins de segurança WordPress para proteger seu projeto online.
All In One WP Security & Firewall
O All In One WP Security & Firewall adiciona proteção extra e um firewall exclusivo para o seu site. Ele verifica vulnerabilidades da página e mede, por meio de um sistema de classificação, o nível de segurança de um site.
Outras características são:
- Detecta se algum usuário tem o nome definido como “admin”, mudando-o automaticamente para um nome da preferência do usuário.
- Identifica nomes de usuários parecidos ou iguais, alertando para a necessidade de troca para um nome mais apropriado e de maior segurança.
- Tem uma ferramenta de fortalecimento de senhas, para ajudar o usuário a criar acessos mais complexos.
- Monitora as conexões de entrada e saída do site, permitindo que certos números de IPs sejam permitidos ou bloqueados de acessá-lo.
RapID Secure Login
O RapID Secure Login é uma alternativa de plugin de autenticação de dois fatores. Com ele, é possível aplicar uma nova camada de proteção com uma senha extra e um código de autorização de acesso de usuários.
Outros destaques são:
- Configuração e uso em alguns minutos com o escaneamento de um código QR.
- Não depende de mensagens SMS, suscetíveis a interceptação, para enviar códigos de segurança.
- Permite usar um dispositivo adicional, como smartphones e tablets, para backups.
- Usa criptografia avançada de 2048-bit, amplamente usada por sites governamentais e grandes corporações.
iThemes Security
O iTheme Security é especializado em bloquear o WordPress de qualquer tentativa de acesso suspeito. Ele procura por vulnerabilidades no sistema, impede tentativas contínuas de invasão e tem um sistema próprio de reforço de logins e senhas extras.
Outros diferenciais são:
- Agendamentos de varreduras automáticas todos os dias em busca de malwares e brechas de segurança.
- Possui Autenticação de Dois Fatores (A2F), configurado com códigos a partir de apps como Google Authenticator e Authy.
- Função de gerar senhas fortes e com prazo de validade, obrigando o usuário a sempre criar combinações mais complexas.
- Tem Google reCAPTCHA (proteção contra spammers) e definição de privilégios temporários para certos tipos de usuários e administradores.
Conclusão
Ainda que não exista nenhuma sistema 100% seguro, você sempre pode trabalhar a favor da proteção do seu projeto online. Com as dicas de segurança WordPress mostradas acima, é possível ter um site blindado contra qualquer tipo de ataque ou agente malicioso. Sucesso na sua jornada na internet! 😉